Robak komputerowy Morris czyli "Procedura taka sama jak co roku"
Jak na początku każdego roku, w 2023 roku znów dostępne są niezliczone prognozy dotyczące kierunku, w jakim rozwinie się krajobraz cyberprzestępczości. Jednak patrzenie w kryształową kulę - nawet jeśli dostępnych jest wiele wskazówek - zawsze jest tylko zakładem o przyszłość. Dlatego bardziej interesujące jest przyjrzenie się przyczynom cyberataków na przestrzeni dziejów. I tu szybko okazuje się, że w zasadzie od kilkudziesięciu lat raz po raz potykamy się o te same trzy głowy tygrysiej skóry.
Nasze historyczne odniesienie sięga 2 listopada 1988 r., czyli dnia, w którym dramatyczny robak internetowy dostał swój początek. Nazwany na cześć informatyka Roberta T. Morrisa, złośliwe oprogramowanie rozprzestrzeniało się w zastraszającym tempie ponad 30 lat temu i jest uważane za pierwszy poważny atak typu malware. Robak Morrisa posiadał trzy podstawowe mechanizmy samoreplikacji oparte na trzech powszechnych błędach w programowaniu i zarządzaniu systemem:
- Nieumiejętne zarządzanie pamięcią:
Morris wykorzystał lukę w przepełnieniu bufora w popularnej wówczas systemowej usłudze sieciowej i osiągnął RCE (zdalne wykonanie kodu). - Słabe odgadywanie haseł:
Morris wykorzystał tzw. atak słownikowy do odgadnięcia prawdopodobnych haseł logowania. Nie musiał odgadywać każdego hasła - wystarczyło złamać tylko jedno. - Niezałatane systemy:
Morris szukał serwerów poczty elektronicznej, które były skonfigurowane w sposób niezabezpieczony, ale później nigdy nie zostały zaktualizowane w celu załatania niebezpiecznej dziury w systemie zdalnego wykonania kodu, której nadużył.
Brzmi znajomo? Powinno, ponieważ w rozbiciu na grupy, nadal cierpimy z powodu tego samego rodzaju problemów z bezpieczeństwem cybernetycznym w zeszłym roku i nadal będziemy mieć do czynienia z tymi "tygrysimi głowami" w 2023 roku. Więc w zasadzie jest to "ta sama procedura co co roku" ponownie w tym roku - nie potrzebujemy rzędów nowych prognoz dotyczących cyberbezpieczeństwa, aby mieć naprawdę dobry pomysł na to, od czego zacząć.
Innymi słowy: Nie możemy tracić z oczu podstaw podczas tworzenia koncepcji cyberbezpieczeństwa i powinniśmy unikać rozwiązywania jedynie specyficznych i aktualnie chwytających za głowę problemów bezpieczeństwa. Tylko dzięki uporaniu się z grzechami cyberbezpieczeństwa z przeszłości możemy skutecznie walczyć z nowoczesnymi zagrożeniami cybernetycznymi.
Co zatem należy zrobić? Dobrą wiadomością jest to, że jeśli chodzi o programowanie, dostawcy coraz lepiej radzą sobie z wieloma z tych oldschoolowych problemów. Na przykład, Sophos uczy się używać bardziej bezpiecznych praktyk programowania, bardziej bezpiecznych języków programowania i osadzać swój działający kod w piaskownicach z lepszym blokowaniem zachowań, aby utrudnić wykorzystanie przepełnień bufora.
Wszyscy coraz lepiej uczymy się korzystać z menedżerów haseł, chociaż przynoszą one własne fascynujące problemy. Stajemy się bardziej wyćwiczeni w stosowaniu alternatywnych technologii weryfikacji tożsamości lub nie polegamy na prostych hasłach, które mamy nadzieję, że nikt nie przewidzi lub nie odgadnie. Ale uwierzytelnianie wieloczynnikowe jest jeszcze lepsze i powinniśmy z niego korzystać wszędzie, gdzie się da.
I nie tylko szybciej dostajemy łatki od dostawców (przynajmniej tych odpowiedzialnych - żart, że S w IoT oznacza bezpieczeństwo wciąż wydaje się być bardzo aktualny, niestety), ale coraz częściej wykazujemy chęć szybszego stosowania łatek i aktualizacji zarówno w środowiskach prywatnych, jak i biznesowych.
Sophos, podobnie jak inni w branży, jest również zdecydowanym zwolennikiem nowoczesnych technologii CaaS, takich jak XDR i MDR, co oznacza, że akceptujesz, że radzenie sobie z cyberatakami nie polega tylko na znalezieniu złośliwego oprogramowania i usunięciu go w razie potrzeby. W dzisiejszych czasach, znacznie bardziej niż kilka lat temu, dostawcy mają tendencję do spędzania czasu nie tylko szukając znanych złych rzeczy, które wymagają naprawy, ale także upewniając się, że dobre rzeczy, które powinny być tam rzeczywiście są i faktycznie robią coś użytecznego.
Sophos również poświęca więcej czasu na proaktywne poszukiwanie potencjalnie szkodliwych rzeczy, zamiast czekać na przysłowiowe alerty, które automatycznie pojawiają się w kokpitach cyberbezpieczeństwa. I to są najlepsze warunki wstępne do postawienia cyberprzestępców na ich miejscu w 2023 roku - i eleganckiego przeskoczenia nad głową tygrysa.